Publicadas nuevas Normas UNE para impulsar la ciberseguridad y digitalización
- Actualidad
La Asociación Española de Normalización, UNE, ha publicado las nuevas versiones de las Normas UNE-ISO/IEC 27001:2023 y UNE-EN ISO/IEC 27002:2023, que incluyen mejoras como nuevos controles sobre la inteligencia de amenazas, la seguridad de información en el uso de servicios cloud, el filtrado web y la codificación segura.
Las Normas UNE-ISO/IEC 27001:2023 "Seguridad de la información, ciberseguridad y protección de la privacidad. Sistemas de gestión de la seguridad de la información. Requisitos" y UNE-EN ISO/IEC 27002:2023 "Seguridad de la información, ciberseguridad y protección de la privacidad. Control de la seguridad de la información. (ISO/IEC 27002:2022)" refuerzan el marco normalizado para establecer, implementar, mantener y mejorar un Sistema de Gestión de Seguridad de la Información (SGSI), totalmente integrable con otros sistemas de gestión internacionales como ISO/IEC 9001 (calidad), ISO/IEC 14001 (medioambiente) o ISO/IEC 22301 (continuidad de negocio).
Las nuevas versiones introducen importantes actualizaciones para mantenerse al día con los cambios rápidos y evolutivos en la ciberseguridad y la protección de la privacidad. Estas actualizaciones incluyen la incorporación de nuevos controles y la simplificación de la gestión a través de la fusión de controles existentes.
Entre los controles recién incorporados destacan los relativos a la inteligencia de amenazas, los servicios cloud, el filtrado web y la codificación segura.
En términos de simplificación, un ejemplo es el control "Inventario de la información y otros activos", que ahora combina los controles anteriores para el inventario de activos y la propiedad de los mismos. "Esta consolidación tiene como objetivo hacer más eficiente la gestión de la seguridad de la información", señala el organismo en un comunicado.
Los 93 controles definidos en la nueva edición de la norma UNE-EN ISO/IEC 27002:2023 están ahora organizados en cuatro cláusulas: Controles de la Organización (37), Controles enfocados a Personas (8), Controles Físicos (14) y Controles Tecnológicos (34). Con esta estructura se conseguie "una visión más integrada y holística de la seguridad de la información", explica.
Además, se ha puesto un énfasis especial en la gestión de proveedores en la norma, para proporcionar un control más exhaustivo de la cadena de suministro, e identificar y abordar posibles lagunas de seguridad.
Asimismo, las nuevas versiones de estas normas son un paso crucial para la adaptación al contexto actual de la seguridad de la información, facilitando la integración con el Esquema Nacional de Seguridad y simplificando su aplicación práctica.
